VSantivirus No. 764 - Año 6 - Domingo 11 de agosto de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - El problema del Spyware
2 - W32/Parex. Asunto: I LIVE. Texto: Hello Hello Hello...
3 - W32/Enerkaz.B. Se propaga como Spank_britney.exe
_____________________________________________________________

1 - El problema del Spyware
_____________________________________________________________

http://www.vsantivirus.com/mr-spyware.htm

El problema del Spyware

Por Marcos Rico (*)
marcos@videosoft.net.uy

Spyware es software o hardware instalado en un ordenador,
generalmente sin el conocimiento del usuario, que recoge
información de dicho usuario para más tarde enviarla por
Internet a un servidor.

Hay muchos tipos de spyware y sólo cada uno de nosotros puede
juzgar si nos "interesa" seguir con el spyware en el
ordenador o es preferible eliminarlo.

Es muy curioso que las compañías antivirus no utilicen la
misma política a veces para los spywares y para los troyanos.
Se clasifica un programa como troyano cuando además de servir
para recabar información remota de un ordenador (una función
que no sólo los troyanos hacen) se ejecuta también
silenciosamente en el ordenador de la víctima. Si Sub7 por
ejemplo nos pidiera autorización antes de instalar su
servidor y especificara muy diáfanamente sus funciones antes
de usarlo, estoy seguro de que los antivirus no lo
detectarían.

Sería un programa de administración remota legítimo como
cientos que hay en Internet.

¿Entonces por qué no seguir la misma política con el spyware
cuando se instala en nuestros ordenadores de manera
subrepticia en muchos casos?. Me siento particularmente
molesto cuando observo que el cortafuegos está reteniendo
conexiones a Internet de spywares como eZula, Save Now,
Realplayer (sí, también nos espía), etc..

Es cierto que muchos de esos spywares son instalados en
algunos programas con información adicional de su presencia;
esa información en pequeño que nadie lee (incluido yo) cuando
instala un nuevo programa. Pero hay otras ocasiones en las
que no se nos informa de nada y cuando nos damos cuenta lo
tenemos instalado en nuestra máquina, consumiendo recursos de
la CPU, memoria RAM, ancho de banda en Internet y enviando
información de nuestras actividades y hábitos a través de
Internet.

También deseo comprender el interés de algunas empresas por
introducir spyware en sus programas. Ellos dicen que si no
usan el spyware sus productos no serían freeware. Habría que
pagarlos, por consiguiente.

Otras empresas que ofrecen productos como el celebérrimo
Download Accelerator Plus nos dejan la opción de elegir entre
la versión freeware con spywares y la versión de pago sin
spywares.

En algunos casos, y esto es aún más irritante, un programa no
funciona si le eliminamos el spyware que silenciosamente nos
ha instalado en nuestro ordenador. Tal es el caso de KaZaa en
algunas de sus versiones si le borramos un pequeño spyware
llamado Cydoor. Por ello antes de eliminar, bien manual o
automáticamente, los spywares anexos a un programa, es
conveniente hacer un backup o copia de seguridad de los
spywares indeseados para reponerlos si fuera menester.

Hay que matizar también que muchas veces calificamos de
spyware programas anexos que en realidad no espían nuestros
hábitos en Internet (qué páginas visitamos, cuándo nos
conectamos, qué programas nos bajamos, etc.). Esos programas
simplemente nos "bombardean" con publicidad. Es como ver una
televisión en abierto: nadie nos cobra por verla pero sus
propietarios necesitan financiarse mediante la publicidad.
Esto parece en cierta manera coherente y no tengo nada que
oponer a la publicidad que tengo que ver en mi pantalla a
cambio de un programa gratuito. Algunos conocen estos
programas como adware. Si Ud. no quiere la publicidad, pague
por el programa.

Tal vez sí podría objetar algo en torno al tipo de publicidad
que algunos de estos programas genera, teniendo en cuenta que
muchos usuarios de Internet son menores de edad. Por supuesto
me refiero a la pornografía. A veces vemos pequeñas ventanas
de publicidad o pop-ups en donde una chica despampanante nos
invita a compartir sus "fantasías" sexuales. Esto puede crear
un conflicto de naturaleza ética ante los menores.

En algunos casos incluso la fina frontera entre spyware y
malware se disuelve y las compañías antivirus deciden
decantarse por lo segundo. Tal es el caso de un programa que
en un principio era legítimo y ahora los antivirus lo
detectan como JS/Noclose. En realidad ese spyware (que era en
esencia un archivo HTA) forzaba nuestro navegador hacia una
página pornográfica e inundaba de pop-ups pornográficos
nuestra pantalla.

Acuérdense Uds. también del revuelo que levantó Symantec,
empresa fabricante de Norton Antivirus, cuando anunció hace
unos meses que LimeWire y Grokster introducían
subrepticiamente un troyano llamado Clicktilluwin en los
ordenadores donde se instalaban. En realidad ese troyano era
un spyware; ¿ven Uds. la dificultad de separar ambos términos
en algunos casos?. Hay día Norton reconoce a Clicktilluwin
como W32.D1Der.Trojan.

He querido realizar un pequeño dossier informativo sobre los
spywares para que Uds. los puedan identificar y eliminar bien
con programas como Ad-Aware o manualmente en algunos casos.
El problema al que me he enfrentado es el volumen de estos
programas en la actualidad. ¡He localizado más de 1000
spywares!. Esto hace imposible un estudio pormenorizado de
cada uno de ellos. Así que me decido por un resumen de los
más destacados y conocidos.

Ante todo quiero advertirles que en este pequeño dossier he
tomado la acepción más general (y también la menos justa
posiblemente) de la palabra spyware que consiste en
introducir también los adwares como spywares. Por ello a
algunos les puede resultar extraño que programas como el
polémico Aureate / Radiate, que al final demostró Kaspersky
que no espiaba ningún hábito del usuario, estén en la lista.
En cualquier caso, advierto a los lectores de esta
circunstancia para que elaboren sus conclusiones con la mayor
diafanidad posible.

Si quieren echarle una ojeada a los diversos tipos de
spywares, acudan a esta Web en inglés: http://www.tom-
cat.com/spybase/spylist.html

* WebHancer

Este programa recaba información de los hábitos del usuario
en Internet como URLs visitadas, tamaño de las Webs, tiempo
conectado a Internet. Hay que proceder con cuidado en su
desinstalación.

1. Localicen en el directorio de Windows los siguientes
elementos: webhdll.dll, whagent.inf, whInstaller.exe,
whInstaller.ini. Bórrenlos todos.

2. Busquen una carpeta llamada WebHancer y bórrenla. Si no
pudieran eliminar un archivo llamado wbhshare.dll, deberán
reiniciar el ordenador y luego intentarlo otra vez.

3. Borren el contenido de la carpeta Temp relacionado para
más seguridad.

* SongSpy

Este programa para el intercambio de mp3 se está haciendo
cada día más famoso tras la caída de AudioGalaxy. Realmente
SongSpy es en sí un spyware, por lo que si no queremos ver
amenazada nuestra privacidad, deberemos proceder a su
desinstalación. Se ha demostrado que SongSpy conecta con un
servidor mediante el puerto 5190 y pone a disposición de ese
servidor TODO nuestro disco duro.

Mi recomendación particular es que no debemos instalar nunca
ese programa si tenemos información vital en nuestro disco
duro.

* Realplayer

Se ha demostrado también que Realplayer está cargado de
spywares. Al parecer la versión básica del programa podría
verse libre de estas molestias. Si intentamos eliminar
manualmente estos spywares, el programa dejará de funcionar.
Así que la única solución pasa por cortarle el paso a
Internet con un cortafuegos o por buscar en Internet una
versión "limpia".

* Mattel Broadcast

Busquen un archivo llamado DSSAgent.exe y bórrenlo. Es el
responsable de la publicidad no deseada de la firma de
juguetes infantiles Mattel.

* Lop (C2Media)

Aún no está muy claro qué información extrae de nuestro
ordenador este programa, aunque al menos nos queda el
consuelo de que sus fabricantes han tenido el detalle de
incluir en su Web un programa que lo desinstala. Pueden
conseguirlo aquí (http://lop.com/toolbar_uninstall.exe).

* HotBar

HotBar recoge información acerca de las Webs que visitamos y
la información que solicitamos en buscadores. HotBar recoge
la IP y las URL que visitamos y las envía a su servidor para
elaborar perfiles estadísticos de los hábitos de los
internautas. Incluso ZDNet le concedió un premio 5 estrellas
(5-Stars) a este spyware, lo cual no deja de ser
sorprendente.

* GoHip

Una extensión del navegador que instala un programa llamado
'Windows Startup' en nuestro menú de inicio. Varía la página
de inicio en el navegador, así como la página de búsqueda por
defecto. Usa publicidad en Internet mientras navegamos.

El ejecutable se llama winstartup.exe y suele localizarse en
C:\Windows. Eliminar el spyware es tan fácil como eliminar
ese ejecutable y reiniciar el ordenador, aunque también GoHip
nos ofrece una herramienta para eliminarlo
(http://www.gohip.com/remove.exe).

* Flashpoint/Flashtrack

Este spyware reconoce nada menos que 50 idiomas y rastrea la
actividad del usuario hasta en 27 buscadores. Más de tres
millones de usuarios en el mundo, probablemente la mayor
parte de ellos de forma involuntaria.

Afortunadamente Flashtrack ha incluido un pequeño programa
que elimina su spyware. Lo pueden conseguir aquí
(http://www.flashtrack.net/FTunin.exe).

* eZula & KaZaa Toptext

KaZaa, el popular sistema de intercambio de mp3, se lleva el
premio al mayor sistema de este tipo con spywares. No sólo
instala los mencionados, sino que también en las últimas
versiones hemos visto otros spywares como Cydoor, Webhancer y
Newdotnet.

Cualquier internauta ha podido comprobar como cuando pasaba
por algunas Webs aparecían palabras clave señaladas en un
color amarillo intenso. Es el primer signo de la presencia de
Toptext. Ezula es la empresa que fabrica el programa y las
palabras en amarillo corresponden a productos de empresas
anunciantes que pagan a eZula por el servicio.

Desde luego, eZula nos llena el registro de entradas que es
necesario borrar:

HKEY_CLASSES_ROOT\EZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOT\EZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOT\EZulaBootExe.InstallCtrl
HKEY_CLASSES_ROOT\EZulaBootExe.InstallCtrl.1.
HKEY_LOCAL_MACHINE\Software\CLASSES\AppID\eZulaBootExe.EXE

HKEY_LOCAL_MACHINE\Software\CLASSES\AppID
\{C0335198-6755-11D4-8A73-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
\{3D7247D1-5DB8-11D4-8A72-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
\{C0335197-6755-11D4-8A73-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database
\Distribution Units\{3D7247DE-5DB8-11D4-8A72-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\ModuleUsage
\C:/WINDOWS/Downloaded Program Files/eZulaBoot.dll

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Explorer\Doc

En el disco duro deja estos archivos:

C:\WINDOWS\eZulains.exe
C:\WINDOWS\APPLOG\ezulains.lgc
C:\WINDOWS\Downloaded Program Files\InstallCtrl.class

Hay que proceder con cuidado a la hora de borrar todos estos
archivos porque a veces podemos quedarnos incluso sin
conexión a Internet. Lo mejor es hacer una copia de respaldo
de todo lo que borremos, para reponerlo todo si tenemos
problemas.

Hay una posibilidad de escanear nuestro ordenador en busca de
este spyware con el Internet Explorer instalado. Apliquen
este pequeño script a su Web después de :

CLASSID="clsid:3D7247E8-5DB8-11D4-8A72-0050DA2EE1BE"
width="1" height="1">

Si tienen eZula en su ordenador, les saldrá este mensaje:
"Usted tiene eZula instalado".

* Cydoor

Este programa se caracteriza por inundarnos con publicidad
incluso cuando estamos offline. Los servidores de Cydoor
identifican cada ordenador "infectado" con un número.

Aquí están los archivos que deja en nuestros ordenadores:

C:\Windows\System\cd_clint.dll
C:\Windows\System\cd_gif.dll
C:\Windows\System\cd_swf.dll
C:\Windows\System\cd_load.exe

Es recomendable borrar la carpeta C:\Windows\System\Adcache

También advertimos de esta entrada en el registro:

HKEY_LOCAL_MACHINE\Software
HKEY_CURRENT_USER\Software

También busquen en:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shareddlls

* Aureate / Radiate

Polémico programa que por ejemplo José Luis López de
VSAntivirus no reconoce como spyware tras los resultados de
los laboratorios de Kaspersky.

En realidad este programa estaría en la categoría de adware:
programa para recoger y mostrar publicidad en la pantalla de
los usuarios. Vuelvo a insistir en que el adware a priori no
plantea ningún problema ético, salvo si se dan las
condiciones expuestas arriba (mezcla de pornografía y niños).

Vean Uds. el tipo de publicidad que les muestra Aureate /
Radiate y juzguen su conveniencia o inconveniencia.

Si quieren borrarlo de su ordenador, estos son los archivos
que deja en nuestro disco duro: adimage.dll, advert.dll,
amcis.dll, amcis2.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe,
ipcclient.dll, msipcsv.exe y tfde.dll.

Finalmente para encontrar en Internet eficaces programas que
borran los adwares y spywares, podemos acudir a:

http://www.lavasoftusa.com/ (Ad-aware versión 5.83)
http://www.bulletproofsoft.com/spyware-remover.html (BPS
Spyware and Adware Remover, versión 2.3).

Pueden utilizar estos programas para eliminar spywares y
adwares, pero tengan en cuenta el aspecto más esencial de
todo: si eliminamos todos los adwares, las empresas de
Internet que se dedican a ofrecernos excelentes programas
freeware, se verán obligadas a vendernos sus productos o a
cesar en su actividad.

Es una cuestión donde el egoísmo puede eclipsar una visión
más general y realista del asunto de lo que es gratuito en
Internet. Piensen por tanto en lo que hacen antes de
declararle la guerra a estos programas.

(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.

Relacionados:

Aureate no es un espía (por Jose Luis López)
http://www.diariored.com/analisis/2000_03_26_21_12_01.html

¿Que esconde Kazaa?. O como eliminar al espía oculto...
http://www.vsantivirus.com/quitar-bde-kazaa.htm

SPYWARE (software espía) y ADWARE (publicidad no deseada)
http://www.vsantivirus.com/jm-spyware.htm

NEWSUPD.EXE ¿Un Spyware de Creative en nuestro PC?
http://www.vsantivirus.com/newsupd.htm

Media Player es un spyware
http://www.vsantivirus.com/21-02-02b.htm

D.I.R.T. El Spyware desenmascarado en la red
http://www.vsantivirus.com/dirt.htm

Morpheus y el misterioso RDXR020305.DAT en el escritorio
http://www.vsantivirus.com/rdxr020305.htm

DlDer, un espía en casa
http://www.vsantivirus.com/06-01-02b.htm

Troj/PSW.Johar. Troyano liberado por el D.I.R.T.
http://www.vsantivirus.com/johar.htm

Troj/WbeCheck. Un espía en el Internet Explorer
http://www.vsantivirus.com/wbecheck.htm

Troj/DlDer. Puede instalarlo el Grokster, roba información
http://www.vsantivirus.com/trojan-dlder.htm

Varios programas de uso gratuito, instalan troyano DlDer
http://www.vsantivirus.com/01-01-02.htm

DSSAgent. Un adware que puede provocar fallas en Windows
http://www.vsantivirus.com/dssagent.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - W32/Parex. Asunto: I LIVE. Texto: Hello Hello Hello...
_____________________________________________________________

http://www.vsantivirus.com/parex.htm

Nombre: W32/Parex
Tipo: Gusano de Internet
Alias: I-Worm.Parex
Plataformas: Windows 95, 98, Me
Tamaño: 21 Kb
Fecha: 4/ago/02

Este gusano, un archivo en formato PE (Portable Executable)
está escrito en Visual Basic, y se propaga en mensajes de
correo electrónico con estas características:

Asunto: I LIVE
Texto: Hello Hello Hello...
Datos adjuntos: [diferentes nombres]

El gusano infecta el sistema, solo si el usuario hace doble
clic sobre el adjunto recibido, el cuál puede tener varios
nombres, y siempre la extensión .EXE.

Su primera acción es copiarse en la carpeta System de Windows
con el nombre de PAR.EXE:

C:\windows\system\Par.exe

Si la carpeta System no corresponde a 'C:\Windows\System', el
gusano falla en su instalación.

También modifica el registro para autoejecutarse en cada
reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Par = C:\windows\system\Par.exe

Para propagarse, el gusano utiliza el Microsoft Outlook y
Outlook Express, para enviar su mensaje infectado a todos los
contactos de la libreta de direcciones.

Dependiendo en forma pseudo-aleatoria de un contador interno,
el gusano muestra los siguientes mensajes:

By By...
Surprise!

By By...
Well

By By...
Good Bye

By BY...
By By

By By...
Hello!

Error! Error!
Error! =
qwetetuyhgfdgfbv,nbvsd,nbvddljhdjhfdjfjdfgfgfas$$$$$$$$

SYNTAX ERROR!!!!!!!!!!
Syntax Error!

También muestra una ventana donde se nos pide el ingreso de
datos, con el siguiente texto:

HELP
Were are you from?

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Par

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

* Glosario:

PE (Portable Executable). Este formato de archivos
ejecutables de Windows, recibe el nombre de "portátil" porque
puede ser compartido por todos los sistemas operativos de 32
bits. El mismo archivo puede ejecutarse en cualquier versión
de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de
formato PE son ejecutables (las extensiones más conocidas son
.EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables
son portátiles.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Enerkaz.B. Se propaga como Spank_britney.exe
_____________________________________________________________

http://www.vsantivirus.com/enerkaz-b.htm

Nombre: W32/Enerkaz.B
Tipo: Gusano de Internet Peer-to-Peer (P2P)
Alias: WORM_ENERKAZ.B, W32/EnerKaz.worm.b, Worm.P2P.Sambud
Fecha: 10/ago/02
Plataformas: Windows 32-bits
Tamaño: 159,232 bytes

Este gusano de Internet se propaga a través de KaZaa, la
aplicación peer-to-peer que permite a los usuarios compartir
archivos directamente de computadora a computadora.

Cuando se ejecuta, esta versión muestra el siguiente mensaje
en una ventana:

Information
You are a DUMB ASS:)!!MWHAHAHAH

Al mismo tiempo crea una copia de si mismo en una carpeta
SYS32 que crea en la carpeta de Windows:

C:\Windows\Sys32\SPANK_BRITNEY.EXE

'C:\Windows' puede variar de acuerdo a la versión de Windows
instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o
C:\WINNT en Windows NT/2000).

Genera además la siguiente entrada en el registro de Windows,
para agregar la carpeta SYS32 a la lista de carpetas
compartidas entre usuarios del KaZaa:

HKEY_CURRENT_USER\Software\KAZAA\LocalContent
dir99 = 012345:C:\WINDOWS\sys32

HKEY_CURRENT_USER\Software\KAZAA\LocalContent
DisableSharing=0

El gusano solo puede propagarse a través de usuarios que
utilicen KaZaa.

* Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools >
Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta 'Traffic'.

* Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese
de actualizar sus antivirus con las últimas definiciones,
luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.

3. Borre los archivos detectados como infectados por el virus

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

6. Pinche en la carpeta "LocalContent" y en el panel de la
derecha busque y borre la siguiente entrada:

dir99

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________